LabEx
EntrarÚnete

Descifrar un Archivo de Captura WPA con airdecap-ng

Beginner
Practicar Ahora

Introducción

Bienvenido a este laboratorio sobre el descifrado de archivos de captura WPA. airdecap-ng es una herramienta potente dentro de la suite Aircrack-ng diseñada para descifrar tráfico inalámbrico. Después de capturar paquetes inalámbricos y descifrar con éxito la frase de contraseña WPA/WPA2, el siguiente paso lógico es descifrar los datos capturados para analizar su contenido. Aquí es donde entra en juego airdecap-ng.

En este laboratorio, recorrerá el proceso de uso de airdecap-ng para descifrar un archivo de captura preexistente (.cap) utilizando un SSID de red y una frase de contraseña conocidas. Esto le permitirá comprender el flujo de trabajo para convertir datos de red cifrados e ilegibles en un formato claro y analizable.

Obtener la Frase de Contraseña WPA Descifrada

En este paso, comenzaremos con la información más crítica necesaria para el descifrado: la frase de contraseña WPA. En un escenario del mundo real, obtendría esto utilizando una herramienta como aircrack-ng para realizar un ataque de diccionario o fuerza bruta sobre un handshake WPA de 4 vías capturado.

Para el propósito de este laboratorio, asumiremos que este proceso ya se ha completado con éxito. La contraseña descifrada se ha guardado en un archivo llamado cracked_password.txt en su directorio actual, ~/project.

Veamos el contenido de este archivo para obtener la frase de contraseña. Utilice el comando cat para mostrar el contenido del archivo en la terminal.

cat cracked_password.txt

Debería ver la siguiente salida, que es la frase de contraseña que utilizaremos para el descifrado:

password123

Tenga en cuenta esta frase de contraseña, ya que la necesitaremos en un paso posterior para ejecutar el comando airdecap-ng.

Localizar el Archivo .cap que Contiene el Handshake WPA

En este paso, necesitamos identificar el archivo de captura que contiene el tráfico inalámbrico cifrado. Estos archivos suelen tener una extensión .cap o .pcap y son generados por herramientas de sniffing de paquetes como airodump-ng o Wireshark.

Para este laboratorio, se ha colocado un archivo de captura de ejemplo llamado wpa_handshake.cap en su directorio ~/project. Para confirmar que el archivo está presente, puede listar el contenido del directorio actual utilizando el comando ls -l. Este comando proporciona una lista detallada de archivos y directorios.

Ejecute el siguiente comando en su terminal:

ls -l

Su salida debería parecerse a esto, confirmando la existencia de wpa_handshake.cap:

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Ahora que hemos confirmado la ubicación de nuestra frase de contraseña y nuestro archivo de captura, estamos listos para preparar el comando de descifrado.

Usar airdecap-ng con el SSID y la Frase de Contraseña

En este paso, construiremos el comando airdecap-ng. Para descifrar una captura WPA/WPA2, airdecap-ng requiere dos piezas de información esenciales: el nombre de la red (SSID) y su frase de contraseña.

El comando utiliza flags (opciones) específicos para aceptar esta información:

  • -e <essid>: Este flag se utiliza para especificar el ESSID (Extended Service Set Identifier) de la red objetivo.
  • -p <passphrase>: Este flag se utiliza para proporcionar la frase de contraseña WPA/WPA2.

Para nuestro laboratorio, el SSID está almacenado en el archivo ssid.txt. Veamoslo primero:

cat ssid.txt

La salida será:

MyTestAP

Combinando esto con la frase de contraseña "password123" del Paso 1, la primera parte de nuestro comando se verá así: airdecap-ng -e MyTestAP -p password123.

Esta estructura de comando le indica a airdecap-ng qué tráfico de red debe buscar y qué clave utilizar para el descifrado. En el siguiente paso, completaremos el comando añadiendo el archivo de captura de entrada.

Especificar el Archivo de Captura de Entrada a Descifrar

En este paso, finalizaremos y ejecutaremos el comando airdecap-ng. Tenemos el SSID (MyTestAP), la frase de contraseña (password123) y el archivo de entrada (wpa_handshake.cap). Ahora, solo necesitamos juntarlos en un solo comando.

El argumento final para el comando airdecap-ng es la ruta al archivo de captura que desea descifrar.

Ejecute el siguiente comando completo en su terminal. Esto instruirá a airdecap-ng a leer wpa_handshake.cap, encontrar paquetes que coincidan con el SSID "MyTestAP" e intentar descifrarlos usando "password123".

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

Después de ejecutar el comando, verá una salida similar a la siguiente. Tenga en cuenta que dado que nuestro archivo .cap de ejemplo está vacío, los recuentos de paquetes serán cero. La línea más importante es la última, que confirma la creación de un nuevo archivo descifrado.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

El mensaje "File wpa_handshake-dec.cap created." indica que la operación fue exitosa. airdecap-ng ha generado un nuevo archivo que contiene la versión descifrada del tráfico.

Examinar el Archivo de Captura Descifrado Recién Creado

En este paso final, verificaremos que el archivo descifrado se ha creado y aprenderemos cómo inspeccionarlo. airdecap-ng no modifica el archivo de captura original. En su lugar, crea un nuevo archivo con los paquetes descifrados, típicamente añadiendo -dec.cap al nombre del archivo original.

Primero, use el comando ls -l nuevamente para ver el nuevo archivo en su directorio.

ls -l

Ahora verá el archivo descifrado, wpa_handshake-dec.cap, listado junto con los archivos originales:

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

Este nuevo archivo, wpa_handshake-dec.cap, contiene la versión en texto plano de los datos capturados. Ahora puede analizarlo con herramientas de análisis de red como Wireshark o tcpdump. Para demostrarlo, usemos tcpdump con el flag -r para leer de nuestro nuevo archivo.

tcpdump -r wpa_handshake-dec.cap

Debido a que nuestro archivo de origen estaba vacío, tcpdump no mostrará ningún paquete. Sin embargo, confirmará que puede leer el archivo, que es el objetivo de este paso.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

En una situación del mundo real con un archivo de captura poblado, este comando mostraría el contenido de los paquetes descifrados, como solicitudes HTTP, consultas DNS y otro tráfico en texto plano.

Resumen

En este laboratorio, ha aprendido con éxito a utilizar airdecap-ng para descifrar un archivo de captura cifrado con WPA.

Ha practicado el flujo de trabajo completo:

  1. Identificar la frase de contraseña y el SSID requeridos.
  2. Localizar el archivo .cap de destino.
  3. Construir el comando airdecap-ng utilizando los flags -e (SSID) y -p (frase de contraseña).
  4. Ejecutar el comando para generar un nuevo archivo de captura descifrado (-dec.cap).
  5. Verificar la creación del archivo descifrado y aprender cómo puede ser analizado con herramientas como tcpdump.

Esta habilidad es fundamental en el análisis de seguridad de redes, ya que cierra la brecha entre descifrar la contraseña de una red y comprender realmente el tráfico que fluye dentro de ella.